ISO 38500 – Gerencia de Sistemas de Información – Integrantes:

View Github Repository Open presentation in a new window

togaPaulo

See all presentation from togaPaulo

ISO 38500 – Gerencia de Sistemas de Información – Integrantes:

0 0

slidesGerencia

Slides para curso de gerencia

On Github togaPaulo / slidesGerencia

ISO 38500

Gerencia de Sistemas de Información

Integrantes:

Verona García, Bruno Alonso

Torres Gaviño, Paulo Vicente

ISO 38500

  • Estándar para Gobierno de TI
  • 3 Tareas
  • 6 Principios

El Problema con la Tecnología de Información

  • TI utilizada por casi todas organizaciones
  • Frecuentemente falla = Consecuencias Graves

Riesgos Inherentes a la TI

  • Actualmente Existe debilidad en la gestión del riesgo de TI
  • Caso Banco Australia
    • Fraudes
    • Grandes pérdidas de Dinero
    • 4 operadores Procesados
    • Salida del CEO
    • Purga de todo el consejo
    • Controles Débiles TI
  • El riesgo abarca más que el no alcanzar un beneficio esperado.

Ejemplos de Desastres de TI

  • British Gas -> Accenture = 128M Libras
    • Fallo Sist. de Facturacion
    • Perdida 1 millon clientes y 2500 empleados

  • British Sky Broadcastig -> EDS = 709M Libras
    • Fallo Sist. de Facturacion

  • Australian Pharmaceutical Industries Limited
    • Fallo implantación ERP
    • No cotizó bolsa 8 semanas
    • 27 % menos de valor en el mercado

  • Royal Bank of Canadá
    • Problemas aplicaciones contables
    • No calculó saldos clientes por 5 días

Consecuencias de fallos de TI

  • Pérdida Clientes
  • Reducción Ingresos
  • Aumento de Costos
  • Daño a la Reputación

Beneficios de aumentar éxito en la TI

  • Reducción del riesgo de fallo de proyectos
  • Reducción del riesgo de interrupción del negocio
  • Menores costes de los proyectos
  • Mejor y más sostenido desempeño del negocio, por medio de un uso más eficaz de la TI
  • Aumento de la ventaja competitiva conseguida con los activos actuales y futuros de la TI

Industria de la Mejora de la TI

  • ISACA
  • PMI
  • United Kingdom Office of Government Computing (OGC)
  • itSMF – IT Service Management Foundation
  • IPMA – International Project Management Association
  • Gobiernos
    • Legislaciones
    • US Sarbanes Oxley (SOx)
    • Regulaciones
  • Empresas Privadas

Impacto en la Mejora

  • Años de esfuerzos para implantar TI, Mismo Resultado
  • Tendencia en ver al tiempo y presupuesto como determinantes
  • Tiempo y presupuesto no son los mejores determinantes
  • La medida real de éxito es el grado en que los resultados ofrecen beneficios tangibles para la empresa
  • Solo 13% empresas hacen seguimiento para verificar beneficios

TI no es solo proyectos

  • Mayoría de gasto en TI es operacional
  • Casos vistos anteriormente se refiere a gestión de operaciones de TI
  • Campos de los Proyectos y las Operaciones de TI mejorando
  • A pesar de las mejoras, proyectos de TI siguen fallando

La necesidad

  • Las organizaciones aún sufren molestías y daños graves por que las actividades relacionadas con la TI se salen del buen camino.
  • Los marcos de referencia no cubre todo el dominio cuando nos movemos de un foco reducido sobre cómo se suministra la TI, a la cuestión más amplica sobre como usan realmente la TI las organizaciones.

La Norma Australiana AS 8015

Publicada en Sydney el 31 de enero de 2005.

Define 3 tareas principales:

Evaluar el uso de la Tecnología de la Información y Comunicaciones. Dirigir la preparación e implementación de planes y políticas. Monitorizar la conformidad de las políticas y el desempeño respecto a los planes.

ISO/IEC 38500 y AS 8015

Mejoras

  • Primero: El material introductorio se ha estructurado y aclarado.
  • Segundo: Los principios tienen ahora un nombre con una sola palabra.
  • Tercero: La orientación sobre las prácticas de gobernanza se ha mejorado sensiblemente.

ISO/IEC 38500

  • Se anunció al mercado internacional el 5 de junio de 2008.
  • Muestra un único modo de aplicarse a todas las organizaciones, independientemente de su escala, estructura y propósito.
  • Proporciona un marco de referencia para la gobernanza eficaz de la TI.

Comprender la Gobernanza de la TI

Ecuaciones:

  • Oferta - Demanda
  • Sistema de Negocio = (Personas + Procesos + Estructura + Tecnología)

Oferta - Demanda

  • Demanda:

    Uso de la TI por una organización.

  • Oferta:

    Prestación de la TI a la organización.

Oferta - Demanda

¿Por qué invierten las organizaciones en TI?

La TI tiene un propósito para el negocio

  • Capacidad Estratégica
  • Capacidad Operacional
  • Conformidad Regulatoria

Oferta - Demanda

Sistema de Negocio

Sistema de Negocio

  • Comprender la Naturaleza del Sistema de Negocio es clave para comprender el papel de la TI para dar soporte al negocio.
  • La aplicación de la TI, por sí sola, no produce automáticamente sistema de negocios mejorados.
  • La tecnología de información se ha convertido en el posibilitador de una notable transformación de las organizaciones, y el uso inteligente de la tecnología ha ocasinado una enorme transformación de las organizaciones e incluso mercados.

Sistema de Negocio

Producir un cambio real y eficaz en un sistema de negocio exige una atención directa, capaz y centrada sobre las cuatro partes del sistema (Proceso, Personas, Estructura y Tecnología)

La tecnología de información posibilita y requiere atención sobre cambios complementarios en los otros tres elementos:

  • En el Proceso
  • En las Personas
  • En la Estructura

Debemos darnos cuenta

  • La tecnología de la información se usa para posibilitar que las organizaciones alcancen resultados específicos.
  • Hay aspectos del sistema de negocio que la TI no puede producir, ni siquiera con los máximos grados de automatización.
  • La realidad es que la tecnología de la información, por sí sola, no hace nada.
  • El sistema de negocio = (Personas + Proceso + Estructura + Tecnología).

Sistema de Gobernanza

  • Gobernar:

    Dirigir y Controlar.

  • Gestionar:

    Trabajar dentro de la dirección establecida y bajo el control de la gobernanza.

"Gobernar quiere decir, esencialmente, estar seguro de que los gestores hacen su trabajo adecuadamente"

ISO/IEC 38500: Sistema de Gobernanza

"El sistema por el cual se dirige y controla el uso actual y futuro de la tecnología de la información"

¿Quién debería ser el responsable de conseguir que se materialicen los resultados esperados de negocio?

El sistema de gobernanza de la TI debe necesariamente, comprometer al ejecutivo del negocio, tanto en el establecimiento de la agenda de trabajo como asegurar el logro de los resultados.

Supervisión General de la TI por el Consejo

  • El consejo puede monitorizar el uso de la TI en la organización y el desempeño de los gerentes en su administración de la TI.
  • Normalmente se necesita que los informes de la TI al consejo se centren en los sistemas de negocio y como usan la TI.
  • Las auditorías periódicas deberían comprobar y confirmar que los sistemas e infraestructura de la TI están en buenas condiciones para satisfacer los requisitos mínimos de fiabilidad e intregridad.
  • Evaluación del funcionamiento de los mecanismos de gobernanza de TI.

Los mensajes claves en ISO/IEC 38500

  • Los consejeros deberían gobernar el uso de la TI
  • La Gobernanza y Gestión son dos conceptos distintos
  • La norma puede aplicarse a cualquier organización
  • Los Gestores son quienes deberían usar más la norma
  • La Gobernanza de TI es una cualidad deseable para los interesados
  • El comportamiento es clave
  • la implantación es responsabilidad de cada organización

Los consejeros deberían gobernar el uso de la TI

  • Norma dirigida y pensada para su uso por consejeros
  • ¿Como gobiernan los consejeros? -> Políticas y estrategias
  • Usan los principios como una lupa para examinar la gestión y la toma de decisiones
  • Dictan normas que guían el comportamiento deseable
  • Deben tener habilidades técnicas, para examinar y ratificar decisiones de gestores
  • Cuando TI es crítica, deben asesorarse, al igual que en la finanzas

Los consejeros deberían gobernar el uso (Demanda y oferta) de la TI

  • Definiendo lo que se pretende de la TI como estrategia
  • Estableciendo políticas para guiar el comportamiento de los gestores en los procesos y decisiones sobre el uso de la TI
  • Monitorizando la conformidad y el desempeño de la estrategia y las políticas
  • Consiguiendo, de un modo regular asesoramiento independiente que confirme la bondad de lo deseado

La Gobernanza y Gestión son dos conceptos distintos

  • La gobernanza eficaz de la Ti depende de la claridad de estos conceptos
  • La confusión de estos ha llevado a que los consejeros no cumplan sus roles correctamente
  • Gobernanza es el sistema por el cual se dirige y controla una organización
  • Gestión es el sistema de controles y procesos necesarios para alcanzar los objetivos estratégicos fijados por el cuerpo de gobernanza de la organización
  • Conceptos diferentes pero íntimamente relacionados
  • Gobernanza dirige la gestión mediante políticas y objetivos o estretegias
  • El sistema de Gestión debe permitir las entradas (políticas) y permitir el papel del gobierno

La norma puede aplicarse a cualquier organización

  • Existe un elevado riesgo que la orientacion que funciona bien en una organización, sea inapropiada para la otra
  • La clave es separar el "qué" del "quién" y "cómo"
  • Al presentar sus orientaciones a traves de principios de alto nivel, permite que un amplio espectro de organizaciones sea libre de elegir como instituirá los principios
  • La norma no receta ningún método o estructura, ya que al hacerlo podrían no ser apropiadas en algunas circunstancias
  • Para lograr el éxito de la implantación de la norma, debe implantarse de acuerdo a la estructura de de dicha organización

Aplicable a Organizaciones que usan tecnología de la Tecnología de Información

  • ¿Cuáles son estas organizaciones?
  • ¿Qué organización no usa tecnología de Información?
  • Tecnología es cada vez más barata y más avanzada
  • Casi todas las organizaciones existentes en el mundo usan TI
  • Las organizaciones se enfrentan al dilema del cómo, dónde, cuándo y por qué usar la TI
  • De igual manera el dilema de cuando no usar TI

Estructura de la propiedad y ánimo de lucro

  • ¿Tiene una organización sin ánimo de lucro la misma oportunidad para usar tecnología que una con ánimo de lucro?
  • ¿Tiene una organización de propiedad privada más o menos dependencia de la TI que una organización que cotiza en bolsa?
  • ¿Pueden ISO/IEC 38500 aplicarse a organismos gubernamentales?
    • ¿Usan TI para dar soporte a sus actividades?
    • ¿Es deseable que su uso sea eficaz y eficiente?
    • Independientemente de su estructura, es posible identificar grupos de personas que encajen en "propietario", "director" y "gestor"
  • Todas las organizaciones independientemente de su estructura de propiedad y ánimo de lucro, usan TI para lograr metas a corto y largo plazo

Los gestores son las personas que más deberían usar la norma

  • ISO 38500 proporciona orientaciones para quienes asesoran, informan o ayudan a consejeros
  • ISO 38500 define una lupa con la cual los consejeros pueden mirar el sistema de gestión y los puntos clave de este
  • Los gestores deben diseñar, implantar y posteriormente operar el sistema de gestión para lograr los objetivos planteados
  • El sistema de gestión debe ser capaz de asegurar un uso eficiente y eficaz de la tecnología
  • La construcción de un sistema de gestión posibilita a su vez la gobernanza

La Gobernanza de la TI es un atributo deseable para los interesados

  • Los gastos totales en TI son un elemento importante para las organizaciones
  • Iniciativas fracasadas = recursos desperdiciados
  • La gobernanza de TI debe ser un factor clave para mantener alineados los gastos de TI
  • La terminación fructífera de los proyectos de inversión en TI, se traducen como ventaja copetitiva

El comportamiento es clave

  • ¿Qué es comportamiento ?
  • ¿Qué es un buen comportamiento según el contexto del gobierno de TI?
  • ¿Qué es un mal comportamiento según el contexto del gobierno de TI?
  • ¿Existe un único buen comportamiento?
  • ¿Como tener un buen comportamiento?

La implantación es responsabilidad de cada organización

  • ¿Por qué depende de cada Organización?
    • El sistema debe adaptarse a su cultura y forma de organizarse
    • El sistema de gobernanza incluye personas, procesos, infraestructura y TI
    • Existen muchos Frameworks para procesos, infraestructura tecnología y herramientas
    • Inversiones anteriores en TI se pueden acoplar con Gobernanza de TI
  • La conformidad con la norma no se logra en una noche
  • Gestión de cambio en la responsabilidad

Modelo ISO/IEC 38500 para Gobernanza de TI

Consta de 3 tareas básicas

  • Evaluar
  • Dirigir
  • Monitorizar

Temas Fundamentales en la Gobernanza de TI

  • Procesos de Negocio
  • Propuestas
  • Proyectos
  • Operaciones de TI

Procesos de Negocio

La Tecnología de la Información debería sustentar la mayor parte de los procesos rutinarios de negocio para maximizar su eficiencia.

Propuestas

Es cualquier plan, petición, expectativa o requisito relacionado con el uso de tecnología de la información.

Pueden tener relación:

  • Control del uso de la TI.
  • Mecanismos de gestión.
  • Control y evaluaciones de situación.

Proyectos

Los proyectos son medios por los cuales las organizaciones implantan los cambios que planifican.

Los proyectos a los que se aplica la norma contiene todas las iniciativas donde haya inversión de TI para alcanzar un resultado o una capacidad de negocio.

Operaciones de TI

Administración rutinaria, ejecución y soporte de aplicaciones de negocio.

Los principios de la gobernanza de la TI

ISO/IEC 38500 define 6 principios:

  • Responsabilidad.
  • Estrategia.
  • Adquisición.
  • Desempeño.
  • Conformidad.
  • Comportamiento Humano.

El propósito de los principios es guiar el comportamiento de la organización, que se manifiesta por medio del comportamiento de sus consejeros y gestores, cuando se toman decisiones sobre el uso de tecnología de información.

Los Principios de la gobernanza de la TI

ISO/IEC 38500 AS8015 Responsabilidad Establezca responsabilidades claramente entendidas para la TI Estrategia Planifique la TI para dar el mejor soporte a la organización Adquisición Adquiera la TI de un modo válido Desempeño Asegúrese de que el desempeño de la TI es bueno, siempre que se requiera Conformidad Asegúrese de que la TI cumple las reglas formales Comportamiento Humano Asegúrese de que la TI respeta los factores humanos

El principio de la Responsabilidad

  • Cada persona que tiene una responsabilidad tiene que hacer actividades específicas como parte de su trabajo.
  • Quien tenga la responsabilidad debe tener los medios para hacer su trabajo de acuerdo con esas responsabilidades.

¿Quién es el responsable de la TI?

La TI es una herramienta del negocio => Ejecutivos y Gerentes del Negocio.

El Gerente de TI

, Responsable de ciertos elementos de la oferta de la TI, ayuda a conseguir la monitorización de la conformidad con las reglas relativas a Gobernanza de la TI.

El principio de la Estrategia

La estrategia de negocio debe tener en cuenta las capacidades de la TI, y que los planes de la TI deben satisfacer las necesidades actuales de la estrategia de negocio.

Elementos de la Estrategia y Planificación

La planificación debería ir siempre conducida por una clara y profunda comprensión de cómo se usará la TI.

Es importante que los procesos de planificación se efectúen con una combinación apropiada de personas para asegurar que los planes sean razonables y equilibrados.

  • Desarrollo de una estrategía específica.
  • El diseño de los cambios sobre la arquitectura de la empresa.

El principio de la adquisición

Decisiones de invertir recursos de una organización en Tecnología de la Información.

Una adquisición es cualquier decisión que implique la asignación de recursos financieros o humanos a las actividades de TI.

Contextos para la toma de decisiones:

  • Análisis apropiado
  • Continuar una iniciativa
  • El sistema viviente - El negocio actual
  • La economía cambiante de la externalización (Outsourcing)
  • Marco de Referencia para la toma de desiciones
  • Reducir hasta el mínimo
  • Responsabilidad en las adquisiciones

Análisis Apropiado

Busca el "análisis apropiado" y equilibrio apropiado entre beneficios, oportunidades, costes y riesgos, a corto y largo plazo.

Hay 5 preguntas fundamentales:

  • Objetivo: ¿Cuál es el resultado propuesto?
  • Valor: ¿Por qué es importante el resultado?
  • Enfoque (Método): ¿Cómo se logrará el resultado?
  • Resultados: ¿Cómo se hará visible el progreso y el éxito?
  • Riesgo: ¿Cómo se detectarán y controlarán las cosas que puedan ir mal?

Continuar una iniciativa

Los recursos financieros, humanos o de otras clases, una vez gastados sólo pueden recuperarse por medio del retorno de la inversión.

La propuesta inicial de una iniciativa debería incluir la indentificación de los puntos de revissión formal de la continuidad del proyecto.

El sistema viviente: El soporte al negocio habitual

  • A lo largo de la vida operacional del sistema, se incurrirá en una amplia variedad de costes.
  • El soporte al negocio habitual es una parte importante del gasto en TI para la mayoría de las organizaciones.
  • Exige una exhaustiva comprensión de los costes y sus elementos esenciales para la TI que usa la organización.

La economía cambiante de la externalización

Propósito: Lograr un conjunto dado de capacidades a un coste aceptable.

  • Tradicional

    El comprador definía el servicio por medio de una descripción de requisitos.

  • Nueva Ola

    El proveedor define el servicio, o conjunto de servicios relacionados que pone a disposición de los clientes.

Marco de referencia para la toma de decisiones

La mayoría de de las organizaciones necesita fijar, con políticas claras, los controles para su proceso de adquisición. Las políticas pueden definir:

  • Cómo se delega la autoridad para las decisiones de adquisición.
  • Criterios para la aprobación de nuevas inversiones.
  • La mezcla aceptable de proyectos pequeños, medianos y grandes, y los perfiles aceptables de riesgo para los proyectos.
  • Normas mínimas para el buen funcionamiento de los proyectos establecidos.
  • Puntos obligatorios de revisión para proyectos y situaciones de soporte del negocio habitual.
  • Uso permitido de la externalización de la "nueva ola"

Reducir al mínimo

Las decisiones de reducir el gasto en TI son esencialmente decisiones sobre el riesto y deben tomarse de una forma apropiadamente informada.

Responsabilidad en las adquisiciones

¿Quién debería tener la responsabilidad de las decisiones de adquisicón de tecnología de la información?

Depende

En último término, son los propietarios de la organización quienes, por medio del consejo de administración, dirigen a los gestores sobre qué debería hacerse o no hacerse con los recursos de la organización.

El principio del desempeño

Las organizaciones necesitan:

  • Que su TI funcione bien siempre que se requiera.
  • La TI debe ser adecuada para su propósito.

Elementos clave en el modelo de gobernanza

  • Planificación
  • Proyectos
  • Operaciones

Planificación

Las organizaciones necesitan planes para saber hacia dónde dirigir sus energías: asignar los recursos.

¿Qué queremos conseguir y cómo pretendemos lograr lo que queremos?

Para que la TI tenga un buen desempeño debe haber primero una clara comprensión de qué debe lograr la TI.

Proyectos

Un proyecto se emprende para alcanzar un resultado definido, en el contexto del uso de la TI en una organización. El resultado debería ser siempre un resultado del negocio.

Operaciones

¿Se satisface el principio de desempeño: funciona bien, siempre que se requiera?

Principio de conformidad

  • Muy Simple. Se espera:
    • Cumpla con legislación y las regulaciones
    • Políticas y prácticas claramente definidas, implantadas e impuestas

Obligaciones Externas

  • Organización escoge como implementar sus obligaciones externas
    • Mecanismos para cumplir dichas obligaciones
    • Aspectos que forman parte del sistema de gestión
    • Qué partes se manejan por la capacitación específica del personal
  • Ejemplo de una Obligación externa SOx

Fuentes

  • Clara y Exhaustiva comprensión del régimen y obligaciones
  • No quiere decir cumplir todas las obligaciones
  • Evitar multas

Comportamientos sobre la conformidad

  • No solo es asunto para quienes tratan detalles de operaciones
  • Conformidad Servil: cumplir obligaciones al pie de la letra
  • Conformidad superficial: dejar la conformidad a la suerte, dejar que el personal actúe como se espera
  • Conformidad práctica: Decisiones deliberadas que definirán la postura a aplicar frente a la conformidad

Controles Internos

  • Análogos a los controles externos
  • Deben estar identificados, implantados, actualizados y adecuadamente monitorizados
  • Deben estar documentados de forma clara y rprecisa

El sistema para la gobernanza de TI

  • Es un sistema que contiene personas, proceso, estructura y tecnología
  • Para satisfacer el rpincipiod e conformidad deben estar claramente especificado
  • No existe un único modelo de sistema para la gobernanza de TI

El principio del comportamiento humano

Busca centrar la organización en mostrar un mejor entendimiento del modo de relacionarse las personas con el uso de la Tecnología de la Información.

Resultado: Mejorar el modo de

  • Planificar
  • Construir
  • Desplegar
  • Operar

Los sistemas de Negocio posibilitados por la tecnología de información.

la perspectiva de las personas

  • Operan el Sistema de Negocio ejecutando las tareas definidas en el modelo de proceso.
  • Usan la tecnología que se proporciona para automatizar el sistema.
  • Toman decisiones dentro de las políticas y autoridad definidas en la estructura de la organización.
  • Están al tiempo reforzados y limitados por las capacidades y limitaciones del sistema de negocio.
  • Son evaluados y recompensados por el desempeño del sistema de negocio y su desempeño dentro del sistema de negocio.
  • Supervisan la operación del sistema de negocios, como gestores internos, como reguladores y como otros interesados.
  • Imponen reglas, regulaciones, leyes y otros controles relativos a la operación del sistema de negocio.
  • Tratan con el sistema de negocio, como proveedores, socios del negocio y clientes.
  • Planifican y producen cambios al sistema de negocio.
  • Pueden estar en contra, sentirse desafiados o entusiasmados por el resto de cambiar el sistema de negocio y su rol en el sistema.

La perspectiva del comportamiento

  • Identificar las comunidades de personas y sus comportamientos colectivos: su cultura y su clima.
  • Comprender el impacto del cambio en cada grupo.
  • Comprender los factores y conductas de resistencia potencial.
  • Proporcionar comunicación de los propósitos el progreso y los resultados.
  • Abordar un diálogo constructivo y con significado.
  • Implicar a los interesados representativos en el proceso de cambio.
  • Proporcionar compromiso en la planificación y en la implantación.
  • Proporcionar entrenamiento y facilitación.
  • Incorporar iniciativas que permitan otras iniciativas en el plan.

Comunidades

Responsabilidad del comportamiento humando

  • Cada persona empleada en una organización es responsable de su propio comportamiento, los problemas relacionados con el comportamiento son más amplios que los relacionados con las personas.
  • Los responsables de la dirección y control general de la organización deben asegurarse de que se presta suficiente atención a la importancia de comprender y tratar el comportamiento humano y sus contrapartidas organizativas: el clima y la cultura, como un factor crítico en el uso eficiente, eficaz y aceptable de uso de la tecnología de información.

Slides

http://togapaulo.github.io/slidesGerencia